Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

BSI-DSZ-CC-0839-2013

Tivoli Security Policy Manager Version 7.1

Antragsteller / Applicant

IBM Corporation

11501 Burnet RD, IBM Building 101
Austin, 78758
USA

Prüfstelle / Evaluation Facility

atsec information security GmbH

Prüftiefe / Assurance

EAL2+, ALC_FLR.3

Ausstellungsdatum / Certification Date

16.12.2013

Zertifizierungsreport / Certification Report
Sicherheitsvorgaben / Security Target

Der EVG kontrolliert Zugriff auf Webdienste (Web Services) indem "Security Policies" definiert und durchgesetzt werden. Zugriffe auf Webdienste werden dabei durch den EVG auf dem WebSphere Application Server System, auf dem der Webdienst installiert ist, überprüft. Die Zugriffsentscheidung wird anhand einer Reihe von Policies ermittelt, wobei die Policies nach dem Standard XACMLv2 aufgebaut sind. Nur bei einer positiven Zugriffsentscheidung wird der Zugriff an den gewünschten Webdienst gewährt. Die Policies werden zentral über die TSPM Management Konsole verwaltet (Erzeugung, Konfiguration, und Verteilung im Netzwerk), eine web-basierte grafische Schnittstelle des eigentlichen Managementservers. Die wichtigsten Sicherheitsfunktionen des EVGs sind die folgenden:

  • Generieren von Audit Events: Erzeugung und Speicherung von Ereignissen, zur späteren Prüfung.
  • Schutz von Diensten und Benutzerdaten: Zugriffskontrolle auf Web Services und auf Funktionen die den EVG-Administratoren zur Verfügung stehen
  • Sicherheits-Management: Fernwartung der EVG-Resourcen (Spezifikation der Dienste), Policies, und Sicherheitsfunktionen.

The TOE controls access to Web Servics by defining and enforcing security policies. Web Service requests are access controlled by the TOE on the WebSphere Application host on which the Web Service is deployed. The request is evaluated against a set of policies based on the XACML v2 standard. Only on a Grant access decision, the request gets forwarded to the targeted Web Service. The policies are centrally managed (e.g. authoring, configuration, and distribution) from the TSPM Management Console which provides an administration interface to the TSPM Policy Server, the actual management server. The following are the major security functions:

  • Audit services: The TOE is capable of auditing internal events by generating audit information that is stored in files protected by the IT environment.
  • User data protection: The TSF implements a rule-based access control mechanism to control access to TSPM management functions to authorized administrative users.
  • Security Management: The central management of the TOE’s security relevant parameters is performed remotely by an authorized administrator.